SSH – Client-Schlüssel – Überblick

Die SSH-Spezifikation erlaubt drei verschiedene Arten von Authentifizierung:

• Standardbenutzername und Kennwort. (unterstützt von MOVEit Transfer)
• Nur Hostname (nicht unterstützt von MOVEit Transfer)
• Benutzername and Client-Schlüssel (unterstützt von MOVEit Transfer).

Der höheren Sicherheit durch kryptographisch sichere Schlüssel steht zusätzliche administrative Arbeit gegenüber. Bei Verwendung von Schlüsseln genügt es nicht mehr, das Kennwort zurückzusetzen, um den Zugriff zu gewähren.

In SSH-Anwendungen werden Client-Schlüssel fast immer client-seitig generiert. Da es keine zentrale Stelle gibt, die für SSH-Schlüssel bürgt (denn SSH wäre dann SSL), müssen alle SSH-Schlüssel einzeln vom Client und vom Server als vertrauenswürdig deklariert werden.

MOVEit Transfer unterstützt die Verwendung von DSS- und RSA-Schlüsseln. Der vom MOVEit Transfer-SSH-Server automatisch generierte Serverschlüssel ist ein RSA-Schlüssel. Bei diesem Schlüsselformat sind noch nie Inkompatibilitäten mit SSH-Clients aufgetreten. Client-Schlüssel können von beiden Typen sein.

Generieren von SSH-Client-Schlüsseln

MOVEit Transfer ist KEIN SSH-Client-Schlüsselgenerator. Fast alle modernen SSH-Clients verfügen über eine Funktion zum Generieren von Client-Schlüsseln, und diese Funktionen sollten verwendet werden, wann immer dies möglich ist. Einige gängige Funktionen zur Schlüsselgenerierung von SSH-Clients werden nachfolgend kurz beschrieben:

• *nix, OpenSSH: Verwenden Sie den Befehl ssh-keygen -t rsa.
• Windows WS_FTP 9.0: Wählen Sie im Hauptmenü Options | Tools (Optionen - Extras) aus und verwenden Sie die Schaltfläche Create... (Erstellen...) unter der Struktur SSH | Client Keys (SSH - Client-Schlüssel).

Wenn Sie SSH-Client-Schlüssel generieren und verteilen müssen, ziehen Sie für deren Generierung das OpenSSH für Windows-Toolkit in Betracht. Weitere Informationen zu diesem Vorgang finden Sie unter Specific Clients - OpenSSH for Windows (Spezifische Clients - OpenSSH für Windows).

Zuordnen von SSH-Client-Schlüsseln zu Benutzern

Die Funktion, die SSH-Client-Schlüssel zu bestimmten Benutzern in MOVEit Transfer zuordnet, ist als Bestandteil der SSH-Richtlinie in jedem (webbasierten) Benutzerprofil verfügbar. MOVEit Transfer speichert nicht den ganzen SSH-Schlüssel für einen Remote-Client. Statt dessen erfasst MOVEit Transfer den kryptografisch eindeutigen Fingerabdruck (MD5) eines Client-Schlüssels. Es kann entweder der Client oder MOVEit Transfer selbst verwendet werden, um den erforderlichen Fingerabdruck zu generieren und zu importieren.

Generieren und Importieren von SSH-Client-Schlüsseln

Es gibt zwei Möglichkeiten zum Generieren und Importieren eines SSH-Client-Schlüssels für einen bestimmten Benutzer.

• Generieren des Schlüssels durch den Endbenutzer, Importieren des Schlüssels oder des Fingerabdrucks durch den Administrator.
• Herstellen einer Verbindung durch den Endbenutzer, Akzeptieren des zwischengespeicherten Fingerabdrucks im Haltetank durch den Administrator.

Die zweite Möglichkeit ist wahrscheinlich schneller und weniger fehleranfällig, wenn die Kommunikation zwischen Endbenutzer und Administrator nahezu in Echtzeit erfolgt.